سرقت چند میلیون دلاری گروه هکری با معرفی خود به عنوان VCها و بانک‌های ژاپنی

طبق تحقیقات این آزمایشگاه، بیشتر دامنه‌ها هم نام دامنه‌هایی از شرکت‌های سرمایه‌گذاری خطرپذیر ژاپنی بودند که نشان‌دهنده علاقه شدید این گروه هکری به داده‌های کاربران و شرکت‌های این کشور بوده است.

پس از تحقیق در مورد زیرساخت‌های به کار رفته، بیش از ۷۰ دامنه مورد استفاده این گروه را کشف کردیم، یعنی تا همین اواخر بسیار فعال بودند. همچنین، آنها دامنه‌های جعلی متعددی را ایجاد کردند که شبیه به سرمایه‌گذاری خطرپذیر و دامنه‌های بانکی است.

تا چند ماه پیش، گروه BlueNoroff از اسناد Word برای تزریق بدافزار استفاده می‌کرد. بااین‌حال، آنها اخیراً تکنیک‌های خود را بهبود بخشیده‌اند و یک فایل دسته‌ای ویندوز جدید ایجاد کرده‌اند که به آنها امکان می‌دهد دامنه و حالت اجرای بدافزار خود را گسترش دهند.

این فایل‌های bat. جدید، اقدامات امنیتی Windows Mark-of-the-Web (MOTW) را دور می‌زنند؛ علامت پنهانی که به فایل‌های دانلود شده از اینترنت متصل می‌شود تا از کاربران در برابر فایل‌های منابع نامعتبر محافظت کند.

پس از بررسی کامل در اواخر سپتامبر، کسپرسکی تأیید کرد که علاوه‌بر استفاده از اسکریپت‌های جدید، گروه BlueNoroff شروع به استفاده از فایل‌های تصویری دیسک .iso و vhd برای توزیع ویروس‌ها کرده است.

کسپرسکی همچنین دریافت که کاربری در امارات متحده عربی پس از دانلود یک سند Word به نام “Shamjit Client Details Form.doc” قربانی گروه BlueNoroff شده است که به هکرها این امکان را می‌داد که به رایانه او متصل شده و اطلاعات را استخراج کنند، در همین حین آنها سعی می‌کردند بدافزارهای قوی‌تری را اجرا کنند.

هنگامی که هکرها وارد رایانه شدند، «سعی کردند از قربانی اثر انگشت بگیرند و بدافزار دیگری را نصب کنند»، بااین‌حال، قربانی چندین دستور را برای جمع‌آوری اطلاعات اولیه سیستم اجرا کرد و از انتشار بیشتر بدافزار جلوگیری کرد.

بر اساس گزارش‌ها کره شمالی از نظر جرایم رمزنگاری در جهان پیشتاز است. هکرهای این کشور تا ماه می سال ۲۰۲۲ توانسته‌اند بیش از ۱ میلیارد دلار رمز ارز را به سرقت ببرند. بزرگترین گروه هکری آن لازاروس (Lazarus) به عنوان مسئول حملات عمده فیشینگ و تکنیک‌های انتشار بدافزار معرفی شده است.

این گروه پس از سرقت بیش از ۶۲۰ میلیون دلار از Axie Infinity، برای بهبود نرم‌افزار خود به‌قدری پول جمع‌آوری کرد که توانست از طریق دامنه‌ای به نام bloxholder.com یک طرح ارز دیجیتال پیشرفته ایجاد کند و از آن برای سرقت کلیدهای خصوصی بسیاری از “مشتریان” خود بهره ببرد.

بنا به گزارش مایکروسافت، تعداد حملات سایبری که سازمان‌های ارزهای دیجیتال را برای دریافت مبالغ بالاتر هدف قرار می‌دهند در چند سال گذشته افزایش یافته‌ است، بنابراین حملات پیچیده‌تر از قبل شده‌اند.

یکی از جدیدترین تکنیک‌هایی که هکرها با استفاده از گروه‌های تلگرامی انجام می‌دهند، ارسال فایل‌های آلوده به شکل جداول اکسل حاوی هزینه شرکت صرافی به عنوان یک طعمه است.

هنگامی که قربانیان فایل‌ها را باز می‌کنند، مجموعه‌ای از برنامه‌ها را دانلود می‌کنند که به هکر اجازه می‌دهد از راه دور به دستگاه آلوده چه تلفن همراه باشد یا رایانه شخصی دسترسی پیدا کند.